Detailansicht
Smart contracts under the light of article 22 of the GDPR
can data subject rights be enforced success fully on a blockchain?
Nick Nicklas Alexander Kosloff
Art der Arbeit
Master-Thesis (ULG)
Universität
Universität Wien
Fakultät
Postgraduate Center
Studiumsbezeichnung bzw. Universitätlehrgang (ULG)
Universitätslehrgang Europäisches u. Intern. Wirtschaftsrecht
Betreuer*in
Lukas Feiler
DOI
10.25365/thesis.59257
URN
urn:nbn:at:at-ubw:1-25120.82448.549569-4
Link zu u:search
(Print-Exemplar eventuell in Bibliothek verfügbar)
Abstracts
Abstract
(Deutsch)
Im Jahr 2016 hat die Europäische Union die Allgemeine Datenschutzverordnung (DSGVO) verabschiedet, um die Datenschutzgesetze der EU-Mitgliedstaaten zu vereinheitlichen. Als solches setzt die DSGVO einen neuen Maßstab für den Datenschutz, der natürlichen Personen mehr Kontrolle über ihre persönlichen Daten gibt als jemals zuvor. Die DSGVO regelt die Durchsetzung und den Schutz der Rechte und berechtigten Interessen der betroffenen Personen durch die Benennung klarer Stellen und Verfahren. Das Kernelement der DSGVO ist die Technologieneutralität, deren Bestimmungen auf alle Datensysteme anwendbar sind. Kürzlich wurde entdeckt, dass Blockchains unter der DSGVO aufgrund der allgemeinen Prinzipien, die im Widerspruch zu denen der DSGVO stehen, grob kompromittiert werden können. Beispielsweise ist die Blockchain ein System, das nur Anhänge enthält, während die DSGVO der betroffenen Person das Recht einräumt, ihre Daten zu korrigieren oder vollständig zu entfernen. Blockchains arbeiten auf der Grundlage eines Peer-to-Peer-Mechanismus, welche der DSGVO die Verpflichtung von Datenverantwortlichkeit und -verarbeitung auferlegt. Dies liegt daran, dass nicht klar ist, ob das Gesetz für eine Blockchain durchgesetzt wird, da die Akteure in der Blockchain schwer zu identifizieren sind. Smart Contracts sind mit der Verbreitung der Blockchain immer beliebter geworden, da die Plattform eine sichere Ausführung und Speicherung ihrer Transaktionsdaten ermöglicht. Die DSGVO unterliegt allerdings einer automatisierten Datenverarbeitung gemäß Art. 22 Abs. 1 und es ist wahrscheinlich, dass der Smart Contract unter das Verbot fällt. Technische Lösungen bieten eine vielversprechende Zukunft, vorausgesetzt, dass die Entwicklergemeinde und die EU-Gesetzgeber zusammenarbeiten, um nicht nur Blockchain-spezifische Gesetze, sondern auch DSGVO-konforme Blockchain-Designs zu erstellen. Diese Arbeit kommt zu dem Schluss, dass die Rechte der betroffenen Personen derzeit nur für private, genehmigte Blockchains durchsetzbar sind, wenn externe Datensilos und geeignete Pseudonymisierungstechniken zum Schutz der Privatsphäre von personenbezogenen Daten in der Kette verwendet werden.
Abstract
(Englisch)
In 2016, the European Union adopted the General Data Protection Regulation to unify the EU Member States’ data protection laws. As such, the GDPR raised a new benchmark of data protection that gave natural persons more control over their personal data than ever before. The GDPR regulates the enforcement and protection of data subjects’ rights and legitimate interests by designating clear entities and procedures for data systems that process personal data. The GDPR’s core element is tech-neutrality, i.e., its provisions can be applied to all data systems. Recently, it has been discovered that blockchains can face severe compliance risks under the GDPR, because a number of the general principles are in conflict with those of the GDPR. For example, blockchain is an append-only system, whereas the GDPR gives the data subject the right to have his or her data corrected or removed completely. Blockchain operates on the basis of a peer-to-peer mechanism that aims to eliminate central validating parties, whereas the GDPR explicitly requires the designation of actors that fulfil the obligations of data controllers and processors. This raises question as to whether the rights can be enforced successfully on a blockchain at all. It is also unclear who shall enforce the rights on a blockchain because the actors are hard to identify on blockchain. Smart contracts have become increasingly popular with the spread of blockchain as the platform allows for a seamless execution and storage of their transactional data. However, the GDPR prohibits solely automated data processing under Art. 22(1) and it is likely that the smart contract comes under the prohibition. Technical solutions provide a promising future, provided that the developer community and the EU legislators cooperate to create not only blockchain-specific legislation, but also GDPR-compliant blockchain designs. This thesis concludes that data subject rights are currently only enforceable on private permissioned blockchains if external data silos and proper pseudonymisation techniques are used to protect the privacy of on-chain personal data.
Schlagwörter
Schlagwörter
(Englisch)
Blockchain DSGVO GDPR Smart Contracts Distributed Ledger Technology Data Subject Rights
Schlagwörter
(Deutsch)
Blockchain DSGVO GDPR
Autor*innen
Nick Nicklas Alexander Kosloff
Haupttitel (Englisch)
Smart contracts under the light of article 22 of the GDPR
Hauptuntertitel (Englisch)
can data subject rights be enforced success fully on a blockchain?
Paralleltitel (Deutsch)
Smart Contracts im Lichte von Artikel 22 der DSGVO : können Rechte für betroffene Personen in einer Blockchain erfolgreich durchgesetzt werden?
Publikationsjahr
2019
Umfangsangabe
73 Seiten
Sprache
Englisch
Beurteiler*in
Lukas Feiler
Klassifikation
86 Recht > 86.55 Datenschutzrecht
AC Nummer
AC15722239
Utheses ID
52321
Studienkennzahl
UA | 992 | 548 | |